WirtschaftskriminalitätGehen Sie beim Sicherheitsmanagement auf Nummer sicher
Schon vor rund vier Jahren berichtete ein chinesischer Überläufer in Belgien detailliert über hunderte chinesischer Spione, die auf verschiedenen Ebenen der deutschen Industrie tätig sind. Auf der Webseite des Landesamtes für Verfassungsschutz Baden-Württemberg ist dieser Spionagefall unter vielen anderen in einer kurzen Notiz aufgeführt – es sind die spektakulärsten, die es in Deutschland jemals gab. Dahinter steckt ein ernst zu nehmendes Phänomen. Von Spionage oder insbesondere Wirtschaftsspionage werden nämlich nicht mehr nur große Konzerne geplagt, auch mittelständische, technologieorientierte Unternehmen geraten zunehmend ins Visier von Nachrichtendiensten oder Konkurrenzausspähung.
Eine Studie des Sicherheitsforums Baden-Württemberg in Zusammenarbeit mit dem Institut für Betriebswirtschaftslehre der Universität Lüneburg deckt das Gefährdungspotenzial auf: In Geldbeträgen gemessen laufen rund sieben Milliarden Euro an Produktideen und Produktions-Know-how im Ländle Gefahr, ausspioniert zu werden. Zirka eine Milliarde Euro an Schäden sind bereits entstanden. Trotzdem, und das ist das Erstaunliche, kümmern sich viele Firmen gar nicht, und wenn überhaupt dann nur lapidar um eine professionelle Sicherheitsstrategie. Harald Woll, Leiter der Abteilung Spionageabwehr am Landesamt für Verfassungsschutz, meint:
„Gerade junge Unternehmen sollten sich mit dem Thema Sicherheit vertraut machen und es als Kernkompetenz betrachten.“
Denn nicht selten hinge die Existenz kleinerer Unternehmen an einem einzigen Produkt.
Wirtschaftsspionage: Unternehmen scheuen oft Schutzmaßnahmen
Kein Bundesland setzt Innovationen so gut um wie Baden-Württemberg, und das im internationalen Vergleich. Beim sogenannten Innovationsindikator 2006, einer Untersuchung des Deutschen Instituts für Wirtschaftsforschung (DIW) zur Innovationsfähigkeit der Bundesrepublik, belegte das Bundesland vor der Schweiz und den USA die Spitzenposition. Erfreulich auf der einen, gefährlich auf der anderen Seite. Der Grund: Kleine und innovative Unternehmen, die gerade im baden-württembergischen Südwesten zahlreich vertreten sind, gehören zu den bevorzugten Zielen von Wirtschaftsspionage. Trotzdem ist das Interesse dieser Unternehmen an geeigneten Schutzmaßnahmen nicht übermäßig hoch. Gerade mal rund 0,1 Prozent ihres Umsatzes geben sie dafür aus. „Blauäugig“, sagt Spionageexperte Woll dazu. Die Unternehmen seien nicht selten überzeugt, bei ihnen gäbe es nichts auszuspionieren. Hinzu käme eine gehörige Portion Selbstüberschätzung. Woll weiter:
„Einfach zu behaupten, bis die Konkurrenz mit einem bestimmten Produkt nachgezogen ist, habe man schon die nächste Innovation entwickelt, ist sehr riskant.“
Auch die Anmeldung einer Erfindung als Patent ist nach Ansicht von Harald Woll nicht immer die optimale Lösung, manches Mal sogar sei das genau das falsche Mittel. Mit dem rechtlichen Schutz der Innovation müsse auch gleichzeitig die Geschäftsidee offen gelegt werden. Konkurrenzunternehmen könnten so die eigentliche Produktidee aufgreifen, entsprechend weiterentwickeln und am Ende davon profitieren. Rechtlich ist das dann ein völlig neues Produkt.
Aber was können Unternehmen gegen den sogenannten „unfreundlichen Informationsabfluss“ tun? Auf den ersten Blick erscheint das ein schwieriges Unterfangen, kommen doch 54 Prozent der Täter bei wirtschaftskriminellen Delikten aus den eigenen Reihen, so das Ergebnis einer Studie der Result Group GmbH, einem internationalen Business Risk Consulting Unternehmen aus München. Über 3.500 Unternehmen in Deutschland wurden dabei nach ihren Erfahrungen mit Wirtschaftskriminalität befragt. Mittelständler seien besonders betroffen, so der Tenor, doch aus Angst vor Imageverlust würden die Vorfälle oft totgeschwiegen. Die Berater empfehlen deshalb die Installierung eines strategischen Frühwarnsystems, zu dem beispielsweise Geheimhaltungsverpflichtungen in Arbeitsverträgen oder auch moderne Personaldiagnostiken bei der Einstellung von neuen Mitarbeitern gehören.
Unternehmen, die loyale Mitarbeiter beschäftigen, die sich mit ihrem Arbeitgeber identifizieren, sind gegen Wirtschaftsspionage zweifelsohne besser gerüstet. Trotzdem drohen auch diesen Unternehmen Gefahren von außen. Wanzen oder versteckt eingebaute Kameras sollten erst gar nicht durch unliebsame Personen ins Firmengebäude gelangen. Eine mögliche Option: digitale Videoüberwachung. Automatisierte Abläufe sollen hier ein Mehr an Sicherheit bringen. Albert Unterberger, Leiter der Abteilung Videoanalyse beim Acherner Sicherheitstechnikhersteller Securiton, sagt:
„Der Trend geht dazu, die Übertragungswege zu digitalisieren.“
In der Praxis geschieht dies mithilfe einer Netzwerkverkabelung und sogenannten IP-Kameras, die anstelle eines analogen einen digitalen Anschluss besitzen. Die Signale werden dann wie im Internet mit dem IP-Protokoll übertragen. Der Vorteil dabei: Geräte für den Aufzeichnungsprozess etwa müssen nicht mehr digitalisieren. Heute liefern moderne Systeme eine konstant gute Bildqualität, sorgen für eine Trennung von Aufnahme- und Speicherort und erleichtern die Bildsuche. Ein weiteres Plus: Bei der digitalen Überwachung übernimmt der Computer die Wahrnehmung und zieht die notwendigen Schlüsse. Eine Hilfe fürs Wachpersonal. Den Grund nennt Erik-Karl Tupy, Leiter der Abteilung Digital Video Surveillance beim Computerriesen IBM:
„Nach 22 Minuten fällt die Konzentration beim menschlichen Überwacher auf fünf Prozent ab.“
Zukunft: Ein computergesteuerter „Wachmann“ vom Fraunhofer IITB
Mit digitaler Überwachung beschäftigt sich auch Markus Müller. Der Abteilungsleiter für Autonome Systeme und Maschinensehen am Fraunhofer Institut für Informations- und Datenverarbeitung in Karlsruhe forscht gerade an der Zukunft der Firmenüberwachung. Läuft alles wie geplant, sollen einmal sogenannte multisensoriell operierende Inspektionsroboter auf größeren Unternehmensbereichen selbstständig patrouillieren und verdächtige Situationen automatisch registrieren können. Hintergrund des AMROS-Projekts ist unter anderem die Sicherung von gefährdeten industriellen Immobilien. Markus Müller erläutert:
„Die Roboter sollen Gefahrensituationen autonom erfassen, entsprechend reagieren und die Daten an die Sicherheitszentrale weiterleiten.“
Der Prototyp des maschinellen Wachmanns fährt auf zwei Rädern und ist mit mehreren Kameras bestückt: Eine 360-Grad-Panoramakamera scannt die Umgebung, eine Farbkamera, die bei Dunkelheit auf Infrarotlicht umschaltet, und zu guter Letzt eine Wärmekamera, die auch bei völliger Dunkelheit Personen oder gerade benutzte Pkw anhand ihrer Wärmeabstrahlung ausfindig macht. So könnte theoretisch auch ein Wagen von möglichen Einbrechern aufgespürt werden. Ein aufmontierter Laser scannt die Umgebung, die ihm vorher ins Computerhirn einprogrammiert wurde, zusätzlich in 3D. Aufgrund von vorab eingespielten Geo-Koordinaten weiß der Roboter genau, welche Strecke er abfahren und welche Bereiche im Unternehmen er überwachen muss.
Doch nicht nur Personen oder Gegenstände könnten so in Zukunft ausfindig gemacht werden, auch veränderte Situationen wie beispielsweise offene Fenster oder Türen von Firmengebäuden soll der Roboter erkennen können und dies in Form von digitalen Bilddaten an die Sicherheitszentrale melden. Müller ergänzt:
„Ein klarer Vorteil gegenüber einem gewöhnlichen Wachmann, der viele einzelne Überwachungsmonitore im Auge behalten muss.“
Der Roboter hingegen scannt gleich die gesamte Umgebung ein. Momentan befindet sich das Projekt noch in einer frühen Testphase. Noch in diesem Jahr erwartet Markus Müller konkrete Ergebnisse.
Bereits 2003 hatte Siemens den Auftrag erhalten, für den Hochsicherheitsbereich des indischen Verteidigungsministeriums ein besonders sicheres Zugangskontrollsystem zu installieren. Gesagt, getan: Ein biometrisches Verfahren sorgt seitdem dafür, dass mehrere hundert Mitarbeiter beim Zutritt zur Forschungs- und Entwicklungsabteilung zweifelsfrei identifiziert werden können. Auch für Unternehmen ist diese Lösung interessant. Markus Strübel, zuständig für die Marketingkommunikation bei Securiton, sagt:
„Der neueste Stand der Technik ist der Einsatz von IP-basierten Zutrittskontrollsystemen.“
Dabei stehe die Integration von digitaler Videotechnik an erster Stelle. Live-Videobilder von Zugängen können nämlich mit Archivbildern verglichen werden. Anschließend entscheidet das System, ob der Zugang gewährt wird oder nicht. Der Vorteil von biometrischen Erkennungslösungen liegt auf der Hand: Eindeutige menschliche Merkmale wie zum Beispiel ein Fingerabdruck oder Handlinien gehen niemals verloren, PIN-Nummern oder Ausweise hingegen schon.
Doch die besten Überwachungskameras und hypermodernen Zutrittskontrollen scheitern, wenn die Angriffe aus dem World Wide Web kommen. Moderne Industriespione fangen E-Mails ab und dringen in fremde Computersysteme ein – meist ohne Spuren zu hinterlassen.
Bereits seit Längerem beobachten Sicherheitsbehörden weltweit einen Trend hin zur Digitalisierung von Straftaten beziehungsweise einen Anstieg der sogenannten Informations- und Kommunikationskriminalität (IuK-Kriminalität). Das Bundeskriminalamt (BKA) spricht allein für den Zeitraum 2006 von über 165.000 Straftaten, die übers Internet begangen wurden. „Phishing“ ist dabei das derzeit spektakulärste Phänomen.
Vom Ausspähen und unberechtigten Einsatz persönlicher Informationen („Password-Fishing“) sind auch immer häufiger kleine und mittlere Unternehmen betroffen. Denn die Hacker werden immer dreister, wenn es um das Auffinden von Sicherheitslücken geht. Die Installation von Firewalls, mehreren unterschiedlichen Virenscannern und Verschlüsselungsmechanismen werden da schon zur ersten Bürgerpflicht. Harald Woll vom Landesamt für Verfassungsschutz Baden-Württemberg, mahnt:
„Die Unternehmen müssen erkennen können, ob sich jemand mit einer fremden Hardware, also zum Beispiel ein Kunde oder ein Lieferant, ins firmeneigene Netzwerk einloggt.“
Der Kauf solcher Softwareprogramme, die das ermöglichen, gehöre zu einem ganzheitlichen IT-Sicherheitskonzept unbedingt dazu. Einleuchtend, denn Firmen, deren Identität missbraucht wurde, leiden unter einem enormen Prestige- und Glaubwürdigkeitsverlust und es kann lange dauern, bis das Vertrauen der Kunden wieder hergestellt ist. Ob ein Betrugs- oder Spionageversuch letzten Endes von Erfolg gekrönt ist, hängt, wie so oft, von der einzigen „Sicherheitslücke“ im Unternehmen ab, die nicht geschlossen werden kann: dem Mensch. Er allein entscheidet, ob eine verdächtige E-Mail geöffnet oder gelöscht wird. Regelmäßige Updates oder die neueste Firewall helfen da nur wenig, denn: Niemand hat bislang einen Schutz vor der eigenen Entscheidung erfunden.
Interview mit Carsten Baeck, Geschäftsführer der Deutschen Risikoberatung in Berlin.
Die Fragen stellte David Wolf, Redakteur business-wissen.de.
dw: Vor allem Mittelständler scheuen noch oft die Kosten eines professionellen Sicherheitsmanagements. Warum?
Baeck: Eigentümergeführte Unternehmen gehen anders als Kapitalgesellschaften mit Risiken um. Ein Konzernlenker sichert sich vor Haftungsansprüchen mit System ab, der Eigentümer hingegen trägt die Risiken persönlich und haftet mit seinem Vermögen. Zudem ist die Eintrittswahrscheinlichkeit krimineller Ereignisse meist geringer als die alltäglichen finanziellen Risiken.
dw: Wann lohnt es sich auch für einen Mittelständler, über die Etablierung eines umfassenden Sicherheitsmanagements nachzudenken?
Baeck: Das ist der Fall, wenn Schäden verhindert oder deren Ausmaß gemindert wurden. Die wahren Schadensquoten und sicherheitsrelevanten Ereignisse sind jedoch in den wenigsten Unternehmen statistisch erfasst. Mittelständler sollten aber über ein Basisschutzkonzept nachdenken und ein Sicherheitsmanagementsystem als selbstverständlichen Bestandteil ihrer Geschäftsprozesse einführen.
dw: Warum sind gerade Unternehmen in einer Umstrukturierungsphase anfälliger für kriminelle Handlungen?
Baeck: Gelegenheit macht Diebe. Bei Umstrukturierungen entsteht oft ein Kontrollvakuum und die Sicherheitsmaßnahmen werden nur lückenhaft umgesetzt. Das nutzen die Täter aus. Wenn die Karten in solchen Situationen neu gemischt und Kompetenzen neu verteilt werden, gibt es neben den Gewinnern auch immer Verlierer. Für kriminelle Handlungen ist das oft ausschlaggebend.
dw: Ob ein Security-Verantwortlicher etabliert wird, hängt auch von der Größe des Unternehmens ab. Können Sie einen Richtwert nennen?
Baeck: Einen Security-Verantwortlichen gibt es immer, und wenn es der Chef selbst ist. Hauptamtliche Chief Security Officer (CSO) in Vollzeit sollten ab einer Milliarde Euro Jahresumsatz etabliert werden. Aber das ist nur ein grober Wert. Daneben kommt es auf die jeweilige Branche, den Grad der Internationalisierung oder Tätigkeiten in Risikoländern an.
dw: Was kostet ein hauptberuflicher Security-Profi?
Baeck: Mit einer einzelnen Stelle ist es kaum getan. Ein CSO muss jederzeit weltweit reisen können. Das erfordert ein angemessenes Reisebudget und ein Backoffice. Um Unabhängigkeit und Vertraulichkeit zu gewährleisten, ist ein personeller Unterbau von zwei Mitarbeitern nötig. 500.000 Euro halte ich für eine erste reale Kostengröße.
dw: Sollte die Beschäftigung eines Sicherheitsverantwortlichen gesetzlich geregelt werden?
Baeck: Von einem gesetzlichen Beschäftigungszwang halte ich nichts. Kleinere Unternehmen könnten diesen Zwang nicht tragen. Mittelständler können Sicherheitsaufgaben zudem wesentlich kostengünstiger einkaufen. Heutzutage mangelt es vielmehr an der Kontrolle und der Ahndung von Verstößen. Besser wären Regeln für die Zulassung als CSO oder Qualifikationsprüfungen zum staatlich geprüften Sicherheitsberater.
Weitere Informationen zum Thema Wirtschaftsspionage im Internet
[dw; Bild: René Sputh - Fotolia.com]